Роскомнадзор с сентября 2022 года получил около 100 уведомлений от российских компаний об утечках персональных данных пользователей.
С 1 сентября вступили изменения в закон о персональных данных, согласно которым операторы обязаны уведомлять Роскомнадзор обо всех инцидентах безопасности с утечками данных, которые произошли внутри их периметра, с предоставлением результатов внутреннего расследования. По части из уведомлений ведомство принимало меры реагирования, например, штрафовало компании за утечки.
По словам представителя РКН, проблема, связанная с утечками персональных данных, вышла на первый план, так как их стало существенно больше в сравнении с прошлыми годами. При этом в отдельных случаях виноваты в таких происшествиях сотрудники, которые работают в компаниях на аутсорсинге.
«Мы отмечаем, что увеличилось число случаев, когда инциденты и причины утечек лежат не на стороне оператора ПД, а на стороне третьих лиц, привлекаемых по договору об аутсорсинге. Они обеспечивают техническую поддержку, оказывают иные услуги. В этом плане мы рассчитываем на то, что операторы ПД, если они привлекают сторонних третьих лиц для оказания услуг, будут обеспечивать контроль и аудит их деятельности, оценивать их возможности на предмет обеспечения уровня защиты персональных данных. Сейчас законодательство позволяет операторам ПД на период действия договора с сотрудниками на аутсорсинге получать всю необходимую информацию о соблюдаемых ими мерах по пресечению утечек», — пояснили в РКН.
- В начале года эксперты российского сервиса разведки утечек данных и мониторинга даркнета Data Leakage & Breach Intelligence (DLBI) сообщили, что в 2022 году в интернет утекли данные 75% россиян. Если объединить эти данные, очистив базу от повторов, то на выходе получается 99,8 млн уникальных электронных адресов и 109,7 млн уникальных телефонных номеров.
- Штрафы за эти утечки сейчас составляют по ч. 1 ст. 13.11 КоАП РФ (за нарушение законодательства в области персональных данных) от 60 тыс. рублей до 100 тыс. рублей. Фактически операторы персональных данных сейчас ничем не рискуют, если потеряют базы данных тысячи и более пользователей.
- Компании после подтверждения факта утечек не выплачивают пострадавшим пользователям компенсации. Роскомнадзор считает, что клиенты компаний, пострадавшие от компрометации персональных данных, имеют право требовать от виновного лица соразмерной компенсации как в досудебном, так и в судебном порядке.
- 14 декабря 2022 года Минцифры разработало законопроект об оборотных штрафах для компаний за утечку персональных данных пользователей. Они могут составить до 3% от оборота организации. В Минцифры считают текущую ситуацию с утечками персональных данных «серьёзной» и «сложной».
- В Российском союзе промышленников и предпринимателей (РСПП) предложили не штрафовать за утечки операторов персональных данных (ПД) с современными системами защиты. Там считают, что законопроект Минцифры о введении штрафов за утечки ПД должен стимулировать работу в области информационной безопасности, а не нести репрессивный характер, так как компании начнут приспосабливаться, дробить бизнес и избегать штрафов, а не утечек.
- 13 января Роскомнадзор занялся проверкой информации об утечке персональных данных 3,5 млн клиентов сервиса Mail.ru.
- 19 января 2023 года Роскомнадзор сообщил, что ведомство проверит информацию об утечке персональных данных 189 тыс. клиентов сервиса сервиса «1С: Урок».
